Polityka zarządzania aktywami

Polityka zarządzania aktywami (P12) ustanawia wymagania organizacyjne dotyczące identyfikacji, klasyfikowania, zarządzania i zabezpieczania wszystkich aktywów informacyjnych w całym ich cyklu życia. Dokument ma na celu zapewnienie nadzoru i zarządzania w skali całego przedsiębiorstwa, obejmując sprzęt, oprogramowanie, dane, chmurę obliczeniową, środowiska mobilne, zdalne oraz zarządzane przez strony trzecie. Jej kluczowym zamierzeniem jest zapewnienie organizacji pełnej widoczności portfela aktywów, co umożliwia skuteczne zabezpieczenia techniczne, przypisanie własności, zgodność regulacyjną oraz odpowiedzialne procedury wycofania z eksploatacji. Aktywa objęte tą polityką obejmują szeroki zakres: laptopy, komputery stacjonarne, urządzenia mobilne, nośniki wymienne, drukarki, sprzęt sieciowy, oprogramowanie, bazy danych, dane kopii zapasowych, klucze szyfrowania, dane ustrukturyzowane i dane nieustrukturyzowane, raporty, pocztę elektroniczną, własność intelektualną, zasoby chmurowe, maszyny wirtualne, konta użytkowników, bazowy zestaw środków kontrolnych, licencje i inne. Polityka obejmuje cały personel, wykonawców, dostawców usług stron trzecich oraz zewnętrznych dostawców, którzy używają, zarządzają lub uzyskują dostęp do aktywów informacyjnych będących własnością organizacji lub przez nią kontrolowanych. Zakres obejmuje również aktywa w środowiskach zdalnych, hybrydowych lub outsourcingowych, zapewniając, że bezpieczeństwo i identyfikowalność aktywów nie są osłabiane przez lokalizację. Podstawowym celem jest utrzymanie scentralizowanego, dokładnego i aktualnego rejestru aktywów, zarządzanego przez Menedżera ds. aktywów IT oraz, tam gdzie to możliwe, zintegrowanego z systemami zarządzania konfiguracją. Każde aktywo wprowadzone do tego rejestru musi zawierać obowiązkowe metadane, takie jak unikalny identyfikator, własność, klasyfikacja aktywów, lokalizacja oraz status cyklu życia. Dla każdego aktywa wyznacza się właściciela aktywów, odpowiedzialnego za zapewnienie właściwej klasyfikacji, ochrony oraz okresowej walidacji zapisów. Proces klasyfikacji stanowi podstawę całej polityki, zapewniając, że aktywa są etykietowane i zarządzane zgodnie z wrażliwością, krytycznością oraz odpowiednimi wymogami regulacyjnymi. Procedury etykietowania są egzekwowane zarówno dla aktywów cyfrowych, jak i aktywów fizycznych, a wymagania dotyczące postępowania (np. szyfrowanie, przechowywanie w zamknięciu lub kontrola dostępu) muszą odpowiadać poziomom klasyfikacji. Polityka opisuje zabezpieczenia na każdym etapie cyklu życia aktywów: wdrożenie, realokację, postępowanie z danymi, użytkowanie, bezpieczny zwrot podczas offboardingu oraz bezpieczną utylizację. Wskazuje, że użytkowanie aktywów musi być zgodne z dopuszczalnym użytkowaniem aktywów organizacji, a w szczególności zabrania wykorzystywania aktywów do celów prywatnych, instalowania nieautoryzowanego oprogramowania lub omijania zabezpieczeń, takich jak oprogramowanie antywirusowe i szyfrowanie. Zasady korzystania z aktywów zdalnych wymagają stosowania wirtualnej sieci prywatnej (VPN) lub bezpiecznego tunelu transportowego i mogą obejmować rozwiązania do zarządzania urządzeniami mobilnymi oraz bezpieczeństwo punktów końcowych. Bezpieczne wycofanie z eksploatacji i niszczenie są jednoznacznie opisane, wymagając wymazywania kryptograficznego lub fizycznego zniszczenia wraz z potwierdzeniem i prowadzeniem zapisów. W celu wsparcia ciągłej zgodności i zarządzania ryzykiem Polityka zarządzania aktywami integruje się z rejestrem ryzyk organizacji oraz wspiera ocenę ryzyka, zarządzanie wyjątkami i procesy audytowe. Naruszenia, takie jak niezarejestrowane lub nieautoryzowane aktywa, niewłaściwa utylizacja lub wyłączanie zabezpieczeń, stanowią podstawę do eskalacji i mogą skutkować środkami dyscyplinarnymi, karami dla dostawców lub nawet postępowaniem sądowym. Okresowe przeglądy polityki obejmują wiele grup interesariuszy i są uruchamiane przez zmiany regulacyjne, ustalenia z audytu, incydenty bezpieczeństwa lub istotne zmiany operacyjne. Dokument kończy się odniesieniem do powiązanych polityk: Polityki kontroli dostępu, Polityki klasyfikacji i postępowania z informacjami, Polityki retencji danych, Polityki rejestrowania i monitorowania, Polityki reagowania na incydenty (P30), zapewniając, że zarządzanie aktywami stanowi centralny filar szerszej struktury ładu organizacji. Ta polityka nie jest oznaczona jako polityka dla MŚP. Jest przeznaczona dla organizacji z wyznaczonymi zespołami, takimi jak IT, Dyrektor ds. bezpieczeństwa informacji (CISO), Menedżer ds. aktywów oraz różni interesariusze ds. zgodności i operacyjni, spełniając kompleksowe wymagania ISO/IEC 27001:2022 oraz wspierając ramy.